Le RGPD et Orange, vu par Laure Trottain

Bonjour, tout d’abord je tiens à vous remercier pour le temps que vous me consacrez.

 « Mais avec plaisir ».

 

Pour commencer, pouvez-vous nous faire une rapide présentation de votre parcours et de votre fonction chez Orange ?

« J’ai réalisé toute ma carrière chez Orange.

J’ai commencé dans les pôles juridiques c’est-à-dire les représentations locales de la Direction juridique. Nous avons en effet 10 pôles juridiques sur la France qui couvrent la métropole etles DOM COM.

Ensuite, j’ai travaillé à la direction Grand Public, puis plus de 10 ans en droit de la concurrence, puisqu’évidemment chez Orange, nous sommes dans l’œil du cyclone.

J’ai été responsable juridique au sein de la direction relation clients pour la France pendant environ 4 ans.

Et depuis octobre 2016, je suis responsable du département « Données Personnelles, Sécurité et Fraudes ». Ce département gère spécifiquement pour la France tout ce qui concerne juridiquement la gestion des données personnelles de nos clients (leur collecte, leur utilisation et notamment ce qui tourne autour du Big Data), ce qui a trait à la sécurité de notre réseau et évidemment les fraudes ».

 

Pour rentrer dans le vif du sujet, comment voyez-vous l’arrivée du RGPD ?

« Vaste sujet ! Déjà de toute façon nous savons que nous n’y couperons pas.

C’est un sujet sur lequel nous travaillons depuis 2 ans, donc nous ne sommes pas pris au dépourvu. Je sais que de nombreuses entreprises commencent juste maintenant à prendre conscience que le sujet est colossal : chez Orange, c’est un chantier que nous avons commencé à aborder dès la sortie du texte c’est-à-dire en 2016.

Nous sommes confiants dans le sens où nous avons lancé de nombreux chantiers. Après, la réalité concrète fait que sur certains items, nous avons bien conscience que nous ne serons pas tout à fait prêts pour l’échéance. Mais, l’essentiel pour Orange est de montrer qu’elle s’emploie à lancer les chantiers qui vont bien, et la CNIL l’a d’ailleurs signalé, elle n’est pas dans une perspective où elle attend qu’au 25 mai tout le monde soit droit dans ses bottes. Après, il y a certains sujets qui nécessitent un arbitrage et sur lesquels Orange a dû faire des choix.

Mais globalement, je pense que notre entreprise fait partie des forts bons élèves dans le sens où nous avons déjà un certain nombre de choses qui sont soit déjà mises en place soit en cours de mise en place. Et il y a un domaine dans lequel nous sommes nécessairement en avance par rapport à un certain nombre d’acteurs : c’est tout ce qui touche aux notifications des failles de sécurité puisque c’était une obligation que les acteurs en communications électroniques avaient déjà ».

 

Quels sont pour vous les avantages et les inconvénients de ce règlement ?

« Pour le client, c’est une sécurité certaine quant  à la gestion de ses données.

De l’autre côté, pour un acteur qui est soumis au RGPD, s’il le gère correctement, il peut également en faire un réel service et un réel avantage marketing ; après toute la question est de savoir comment on le markette.

Dans l’absolu, cela peut être dur à mettre en place sur une structure comme Orange, avec un nombre plus que volumique de données, mais, c’est une bonne chose».

 

Comment Orange s’est préparée à son arrivée ?

« Pour la France, un groupe de travail a été constitué avec des personnes de plusieurs horizons : des personnes du domaine Entreprise, du Grand Public, du réseau, des juristes et des opérationnels.

Il y a des choses qui sont en train d’être vues en terme d’organisation parce que par exemple lorsqu’un client souhaite avoir accès aux données que l’on détient sur lui, ou qu’il souhaite par exemple que l’on n’utilise plus son adresse mail, encore faut-il qu’il sache où écrire, que la demande en question atterrisse au bon endroit et que les gens sachent la traiter derrière.

Il y a un énorme travail effectué sur les parcours clients c’est-à-dire le parcours que le client suit par exemple lorsqu’il achète sur le web. En effet, nous sommes en train de modifier les mentions lorsque l’on commence à collecter des données pour expliquer aux clients pourquoi on collecte ses données et ce que l’on va en faire.

Beaucoup de choses sont également faites avec les sous-traitants puisqu’en réalité, l’impact du RGPD en matière de sous-traitance est important : lorsque l’on signe un contrat avec un sous-traitant, il faut savoir les données qu’on lui fournit, définir les utilisations attendues, et il faut que le sous-traitant derrière nous garantisse un niveau de sécurité conforme à nos attentes.

Donc tout n’est pas encore calé aujourd’hui mais nous ne sommes pas encore au 25 mai et, beaucoup de choses ont déjà démarré. Certains projets arriveront un peu plus tard parce qu’Orange est un très gros paquebot,et nous ne pouvons pas le tourner à 180 degrés d’un coup comme ça ».

 

Avez-vous, vous-même travaillé sur la question?

« Oui effectivement.

Nous avons énormément travaillé sur la mise en place de la cartographie des données pour que tout le monde au sein d’Orange France ait la même cartographie, ce qui est un travail de titan dans le sens où il faut avoir un consensus, avoir fait le tour des équipes pour savoir quelle était la typologie des données utilisées.

Nous sommes en train d’effectuer un gros travail sur le registre des traitements ; où l’on s’est demandé ce que l’on y mettait, comment on le suivait et quels étaient les grands items.

Nous avons également lancé un chantier sur les parcours clients, sur les mentions que l’on doit y trouver, ce qui constitue un très gros chantier puisqu’il faut revoir les écrans proposés un par un.

Enfin il y a un travail effectué en concertation avec la direction de la Sécurité pour justement vérifier que nos attentes respectives se rencontrent. Il y a un énorme effort de consensus, de mutualisation.

Nous avons également beaucoup œuvré à la mise en place d’un outil de sensibilité des traitements permettant aux opérationnels, lorsqu’ils lancent un traitement dont on sait qu’il va contenir  des données personnelles, de juger de sa sensibilité aussi bien en terme de sécurité que de conformité juridique. Et ça, c’est un outil qui est en place aujourd’hui ».

 

Pensez-vous qu’Orange sera prête pour répondre aux nouvelles exigences de ce règlement?

 « Nous ne pouvons pas matériellement être à 100% en conformité avec le RGPD au 25 mai.

L’idée pour nous c’est que ce qui est possible, ce qui est à notre main et qui n’est pas trop long, nous essayons de le mettre en place avant; l’essentiel étant de pouvoir démontrer que l’ensemble est lancé. Il y a tellement de choses à regarder qu’en réalité, il faut faire des arbitrages.

Nous sommes confiants aussi dans le sens où nous pouvons discuter avec la CNIL.

Egalement, nous attendons un certain nombre d’éléments : le projet de loi relatif à la protection des données personnelles est en train d’être regardé, il y a des points qui sont encore assez flous et sur lesquels nous manquons d’indications. Je vais prendre un exemple très concret : le droit d’accès, ça veut dire quoi concrètement? Qu’est-ce qu’on accepte de donner? Comment on le donne?

Ainsi, si Orange fait partie des sociétés qui ont assez bien avancé, il est clair que nous n’avons pas encore fini, il y a encore beaucoup d’éléments à regarder ».

 

Un dernier mot pour la fin?

« Nous sommes confiants. Les équipes sont investies. De nombreux chantiers de sensibilisation de l’ensemble des salariés ont été lancés : il est évident que nous ne pouvons pas manœuvrer une machine aussi importante qu’Orange si les salariés ne sont pas partie prenante de l’ensemble ».

 

Encore merci à Laure Trottain d’avoir accepté de répondre à cette interview.

 

Propos recueillis par Sarah Meunier

MasterIPIT